2021年10月29日,国家互联网信息办公室(简称“国家网信办”)发布了《数据出境安全评估办法(征求意见稿)》(以下简称“《办法(征求意见稿)》”),向社会公开征求意见。意见反馈截止时间为2021年11月28日。
本文重点关注《办法(征求意见稿)》的主要条款,并阐述我们对拟定办法的见解。
背景
安全评估是根据《网络安全法》、《数据安全法》和《个人信息保护法》规定,针对特定类型的数据出境进行审查。概括而言,根据相关法律规定,以下类型的数据应进行本地化处理,且此类数据出境必须向国家网信办申报政府强制安全评估:
- 关键信息基础设施的运营者收集和产生的个人信息和重要数据;
- 处理个人信息达到国家网信办规定数量的个人信息处理者向境外提供个人信息。
根据《数据安全法》,有关部门将针对非关键基础设施的运营者收集和产生的重要数据的出境制定相关规定。目前为止,国务院已经针对关键信息基础设施发布相应条例(点击此处见我们对此的相关分析),但是行业监管部门尚未明确本行业的关键基础设施运营者,而重要数据的范围也尚未明确。
国家网信办在2017年和2019年发布过三份关于数据出境安全评估的法规草案向社会公开征求意见(其中一份草案并未正式公开),以及一项关于数据出境安全评估的指南草案,但均未正式颁布。我们注意到在这些草案中,针对是所有数据出境均要申报政府强制安全评估,还是只有指定类别的数据出境需要接受有关部门的安全评估,政策立场摇摆不定。
《办法(征求意见稿)》是《数据安全法》和《个人信息保护法》正式施行之后发布的关于数据出境安全评估的首个法规草案,很可能也是在其正式颁布之前向社会公开征求意见的最后一版草案。
主要条款及见解
- 扩大了需要申报政府强制安全评估的数据出境范围
需要申报出境安全评估的数据包括:(1) 数据处理者在中国境内经营过程中收集和产生的重要数据;(2) 特定个人信息。显而易见,中国境外收集和产生的重要数据不在此列。不过,目前尚不明确“产生”一词如何解读。
《办法(征求意见稿)》进一步详细规定了需要申报安全评估的出境数据范围,包括:
- 关键信息基础设施运营者收集和产生的个人信息和重要数据;
- 出境数据中包含重要数据;
- 处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
- 累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
- 国家网信部门规定的其他需要申报数据出境安全评估的情形。
相比于上文讨论的《网络安全法》、《数据安全法》和《个人信息保护法》中规定的原则,《办法(征求意见稿)》特别在以下方面明显扩大了需要申报安全评估的数据出境范围:
- 非关键信息基础设施运营者的重要数据处理者向境外提供重要数据,也被纳入了范围之内。这项条款造成的影响是,只要出境数据中包含重要数据,无论数量多少,数据处理者必须向国家网信办申报重要数据传输安全评估。
- 除了此前已经预期到的《个人信息保护法》下依照数据处理者处理个人信息所涉人数而设定的门槛,国家网信办还增加了两项门槛。新增加的门槛涉及出境个人信息数量以及相应个人信息的敏感度。
目前还不太清楚将如何计算达到门槛限额的个人信息数量。例如,一百万人的门槛限额是否包括其个人信息被处理过、后又被删除的个人?累计十万人的门槛限额是否意味着安全评估不适用于向境外提供的前十万人个人信息?一万人的门槛限额是否意味着仅评估向境外提供的敏感个人信息?
- 自评估与政府强制安全评估相结合的混合制度
除了适用于指定数据出境范畴的政府强制安全评估之外,《办法(征求意见稿)》还要求所有数据处理者在向中国境外提供数据之前执行自评估。
自评估
《办法(征求意见稿)》还规定了重点评估事项,包括:
- 数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
- 出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
- 数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
- 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
- 数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
- 与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
《个人信息保护法》规定,个人信息处理者必须针对个人信息出境执行个人信息保护影响评估 (PIPIA)。由此产生一个问题:根据《办法(征求意见稿)》进行的自评估能否自动满足《个人信息保护法》对个人信息保护影响评估的要求?
政府强制安全评估
需要进行政府强制安全评估的,数据处理者必须提供以下材料:
- 申报书,未规定具体格式;
- 数据出境风险自评估报告;
- 数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等;
- 安全评估工作需要的其他材料。
政府强制安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
- 数据出境的目的、范围、方式等的合法性、正当性、必要性;
- 境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;
- 出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;
- 与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务;
- 遵守中国法律、行政法规、部门规章情况;
- 国家网信部门认为需要评估的其他事项。
其中尚待澄清的一个要点是,国家网信办如何确定特定国家或地区的数据保护水平是否充分?虽然出台一份符合要求的国家和地区的白名单更符合常理,然而目前没有迹象表明国家网信办将发布该类白名单。。目前看来,国家网信办现阶段将通过个案评估来确定数据保护水平。
政府强制安全评估程序
国家网信办负责组织与受理政府强制安全评估,但数据处理者必须向省级网信部门提交申请,由省级网信部门向国家网信办申报。
国家网信办自收到申报后七个工作日内以书面形式向数据处理者反馈受理结果。国家网信办受理申报后,将组织行业主管部门、省级网信部门、专业机构等进行安全评估。
国家网信办自受理之日起45个工作日内完成数据出境安全评估;情况复杂的,可以适当延长,但一般不超过60个工作日。数据出境评估结果以书面形式通知数据处理者,有效期二年。
有效期届满,需要继续开展原数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。但是,如果数据出境出现以下变化,数据处理者应当提前重新申报评估:
- 向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的;
- 境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;
- 出现影响出境数据安全的其他情形。
对此,企业可能担心的一个问题是,在须申报政府强制安全评估的数据出境范围扩大后,国家 网信办能否有效处理激增的申请数量,并在规定时间范围内完成评估?
国家网信办可能会在该办法生效前开始处理数据出境申请,但是与之相应的问题在于,申请受 理期间是否允许企业向境外提供数据?如果出境申请大量挤压导致国家网信办无法在办法生效 前完成安全评估,那么国家网信办可能还需要澄清企业这时继续向境外提供数据是否会承担责 任。
- 数据出境合同
政府强制安全评估和自评估的重点都将是数据处理者和境外接收方之间订立的数据出境合同。特别是《办法(征求意见稿)》中规定了此等合同中必须包括的内容,包括:
- 数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
- 数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
- 限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
- 境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
- 违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
- 发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
值得注意的是,《个人信息保护法》规定了个人信息处理者可以采用国家网信办发布的个人信息出境“标准合同”。目前尚不清楚签署标准合同能否自动满足上述要求。显而易见,向境外提供重要数据时,在没有标准合同的情况下,数据处理者和境外接收方则需要签订双方商定的合同。
《办法(征求意见稿)》还要求合同约束数据出境以后向其他组织、个人的再转移事宜,但并未具体说明应该进行哪些约束。境外接收方很可能需要与受让人签订合同,但是否签订合同就能充分满足要求则尚存疑问。
我们的观察
如果《办法(征求意见稿)》按现状颁布,各公司应首先评估或重新评估已有的数据,以确定其数据处理和出境活动是否会触发政府强制安全评估。评估范围扩大后,将有更多的公司需要申报政府强制安全评估。
《办法(征求意见稿)》要求所有数据出境方开展数据出境风险自评估。国家网信办尚未发布更多具体指南,但各家公司应当对数据出境的重点事项启动初步评估,检查是否存在任何可能导致无法通过数据出境评估的问题。
除此之外,数据处理者应准备与境外数据接收方签订合同,收集境外接收方清单,并开始向对方告知签订数据出境合同的要求。
与此前的草案进程不同,我们预计《办法(征求意见稿)》将在未来几个月定稿并正式发布。建议企业尽快采取行动,遵守相关规定。根据法律规定,违反数据出境法规可能面临行政处罚,甚至是刑事责任。
